最近在看网站安全方面的东西。看到xss时,有些资料说,绕过htmlspecialchars的过滤是非常简单的。请问有哪些方法可以绕过htmlspecialchars来攻击网站,对应的又该怎么防范呢?最好是能够系统的总结一下。
解决方案 »
- php下载文件的问题
- dreamweaver 和 mysql 连接找不到文件的疑惑...
- php+Ajax进行验证用户名的时候遇到的编码问题
- 谁有没有ORACLE分页代码?在线等
- 用socket如何编写下列http://211.100.115.37/lxd/liuyue.php?username=try2&password=060621&birth=19530528&length=70的HTTP协议的POST
- php怎样调用windows的资源管理器
- 如和在一个类里.引用另一个类的方法??
- 答者有分!PHP、MYSQL及相关软件版本报上来,我有一段时间没用了
- 数组赋值的问题!(在线等待)
- 一个缩行显示问题,急!!
- 急求三元运算符的意思
- 新人求教PHP环境搭建
而 htmlspecialchars 则可以转转义 <> 这样就无法通过script标签攻击。同时又可以过滤掉双引号,单引号(需要另外加个参数),阻止靠元素属性来触发事件执行脚本